Organisaatioltani on viety tai vuotanut tietoja

Ilmoitusten perusteella viranomaiset saavat tärkeää tietoa tietomurtojen ja tietovuotojen yleisyydestä. Viranomaiset myös tiedottavat uusista tietoturvauhkista ja näin muut organisaatiot voivat välttyä tietomurroilta. 

Tietoturvaloukkausten ilmoittamisen käytännöt vaihtelevat eri maissa. Selvitä, mitä ilmoitusvelvollisuuksia tietomurto- tai tietovuototilanteissa organisaatiosi toiminta-alueen maissa on.

Henkilötietojen tietoturvaloukkauksella tarkoitetaan tapahtumaa, jonka seurauksena henkilötietoja tuhoutuu, häviää, muuttuu, henkilötietoja luovutetaan luvattomasti tai niihin pääsee käsiksi taho, jolla ei ole tietoihin käsittelyoikeutta.

Lue tietosuojavaltuutetun toimiston sivuilta, mitkä tiedot ovat henkilötietoja.Avautuu uuteen ikkunaan.

Henkilötietojen tietoturvaloukkauksia voivat olla esimerkiksi 

• hävinnyt tiedonsiirtoväline, kuten USB-tikku 
• varastettu tietokone 
• tietomurto
• haittaohjelmatartunta 
• henkilötietoja sisältävän sähköpostin lähettäminen väärälle henkilölle.

Huomioi riskin arvioinnissa seuraavat asiat: 

• tietoturvarikkomuksen tyyppi 
• henkilötietojen luonne, arkaluonteisuus ja määrä 
• tunnistamisen helppous: miten helposti henkilöt ovat tunnistettavissa aineistosta 
• loukkauksen kohteena olevan henkilön ominaisuudet: kohdistuuko loukkaus esimerkiksi lapsiin 
• oman organisaatiosi toimiala ja rooli  
• tietovuodon seurauksien vakavuus.

Lue lisää tietoturvaloukkauksen riskin arvioimisesta tietosuojavaltuutetun toimiston verkkosivuilta.Avautuu uuteen ikkunaan.  

Jos tietoturvaloukkauksesta voi aiheutua riski loukkauksen kohteena oleville henkilöille, tulee ilmoitus tehdä. Tietomurroista tyypillisesti aiheutuu riskejä loukkauksen kohteeksi joutuneille henkilöille.

Tietoturvaloukkauksen kohteena oleville henkilöille on ilmoitettava, jos tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille. 

Tutustu ilmoittamisvelvollisuuden tarkempiin ohjeisiin tietosuojavaltuutetun toimiston verkkosivuiltaAvautuu uuteen ikkunaan.. Sivuilta saat ohjeet myös siihen, mitä asioita organisaation on kerrottava loukkauksen kohteeksi joutuneille henkilöille.

Rikosilmoituksen tekemiseen on tietomurron kohteeksi joutuneen organisaation oikeus. Lisäksi rikosilmoitus voi johtaa useita rikoksia tehneiden tekijöiden jäljille. Suomen lainsäädäntö ei kuitenkaan velvoita ilmoittamaan jo tapahtuneista rikoksista poliisille: organisaatio voi itse harkita, haluaako se ilmoittaa esimerkiksi liikesalaisuuksiin kohdistuneesta tietomurrosta poliisille.  

Lue lisää siitä, miksi kyberrikoksista kannattaa ilmoittaa ”Kyberrikos on poliisiasia ‒ opas yrityksille kyberrikostutkinnan kulusta” -julkaisusta (Poliisiammattikorkeakoulu ja Jyväskylän ammattikorkeakoulu. 2021).Avautuu uuteen ikkunaan.

Kun teet ilmoituksen, autat myös muita mahdollisen tietoturvaloukkauksen kohteeksi joutuvia organisaatioita. 

Yhteydenottojen perusteella Kyberturvallisuuskeskus  

• selvittää verkkopalveluihin, viestintäpalveluihin ja lisäarvopalveluihin kohdistuvia tietoturvaloukkauksia ja niiden uhkia 
• kerää tietoa näistä tapahtumista  
• tiedottaa tietoturva-asioista.